A Francia Hatóság reakciója a British Airways és Marriott bírságokra
A Francia Adatvédelmi Hatóság (CNIL) egy sajtóközleményben emlékeztet a GDPR szerepére az online biztonságban és felhívja a figyelmet az utóbbi idők két legnagyobb hírveréssel járó adatvédelmi ügyeire. A két szóban forgó bírságot a British Airways (BA) és a Marriott kapta, melyben a brit Hatóság végezte a vizsgálatokat.
Mint arról korábban mi is beszámoltunk, az ICO ~22 millió euróra büntette a British Airwayst és ~20 millióra a Marriott-ot a náluk történt súlyos és hosszas adatvédelmi incidensek miatt. A BA esetében 430.000 ügyfél adatai kerültek ki, ebből 200.000 alkalommal valamilyen fizetéssel kapcsolatos adat is. A Marriottnál 339 millió ügyfél adatai sérültek, ebből nagyjából 30 millióan voltak európaiak.
A CNIL kiemeli, hogy mindkét esetben olyan cégekről volt szó, melyek óriási mennyiségű személyes adatot kezelnek és egyúttal megvannak a forrásaik, hogy ezeket biztonságban tartsák. A döntéseket jó emlékeztetőnek tartják arra, hogy az adatokkal kapcsolatos visszaélések megakadályozásának felelőssége az adatkezelőé, ellenkező esetben sor kerülhet ilyen mértékű bírságok kiszabása. Fontos részlet az is, hogy ha nem lenne a pandémiás helyzet, valószínűsíthető, hogy a cégek jóval nagyobb bírságot kaptak volna, tekintettel volt a Hatóság azonban arra is, hogy mindkét adatkezelőt roppant érzékenyen érintette a világjárvány.
Emlékeztetnek egy korábbi incidensre is, mellyel kapcsolatban a német Hatóság hozott döntést egy telekommunikációs cég kapcsán, és még egyszer nyomatékosítják a kiszabható bírságok mértékét; az adatbiztonsági (32. cikk) kötelezettségek megszegése esetén 10M euró, vagy az előző éves bevétel 2%-a. Felhívják rá a figyelmet, hogy nem csak a bírság összege a fájó – az elmarasztaló döntések általában azzal járnak, hogy az érintett cégeknek magas összegeket ölniük az online védelmükbe, hogy a hasonló eseteket elkerülhessék a jövőben. A két eszköz együttes használatával a CNIL szerint a GDPR és a Hatóságok megfelelően tudják motiválni az adatkezelőket az adatbiztonság megfelelő szintjének biztosítása érdekében.
Szintén üdvözli a CNIL az európai adatvédelmi hatóságok közti együttműködést, illetve az „egyablakos” eljárásrendet, melyet Belgium egyébként nemrég „támadott meg”. A Hatóságnak lehetősége volt az ICO által megküldött előzetes döntéseket megvizsgálni és észrevételezni. Mind a bírságolt szervezetek megállapított hiányosságaival, mind pedig az ICO által előirányozott bírság mértékével egyetértettek. Véleményük szerint az EU „egyablakos” mechanizmusával végre lehetőség nyílik európai szinten hatásos intézkedéseket hozni. A CNIL elkötelezett a többi hatósággal való együttműködés folytatására.